Beranda » bagaimana » Mengapa UEFI Firmware PC Anda Membutuhkan Pembaruan Keamanan

    Mengapa UEFI Firmware PC Anda Membutuhkan Pembaruan Keamanan

    Microsoft baru saja mengumumkan Project Mu, menjanjikan "firmware sebagai layanan" pada perangkat keras yang didukung. Setiap produsen PC harus memperhatikan. PC membutuhkan pembaruan keamanan untuk firmware UEFI mereka, dan produsen PC telah melakukan pekerjaan yang buruk untuk memberikannya.

    Apa itu UEFI Firmware??

    PC modern menggunakan firmware UEFI alih-alih BIOS tradisional. Firmware UEFI adalah perangkat lunak tingkat rendah yang dimulai ketika Anda mem-boot PC Anda. Ini menguji dan menginisialisasi perangkat keras Anda, melakukan beberapa konfigurasi sistem tingkat rendah, dan kemudian melakukan booting sistem operasi dari drive internal komputer Anda atau perangkat boot lain.

    Namun, UEFI sedikit lebih rumit daripada perangkat lunak BIOS yang lebih lama. Sebagai contoh, komputer dengan prosesor Intel memiliki sesuatu yang disebut Intel Management Engine, yang pada dasarnya adalah sistem operasi kecil. Ini berjalan secara paralel dengan Windows, Linux, atau sistem operasi apa pun yang Anda jalankan di komputer Anda. Pada jaringan perusahaan, administrator sistem dapat menggunakan fitur di ME Intel untuk mengelola komputer mereka dari jarak jauh.

    UEFI juga berisi prosesor "mikrokode," yang merupakan sejenis firmware untuk prosesor Anda. Saat komputer Anda melakukan boot, komputer ini memuat mikrokode dari firmware UEFI. Anggap saja seperti juru bahasa yang menerjemahkan instruksi perangkat lunak ke instruksi perangkat keras yang dilakukan pada CPU.

    Mengapa UEFI Firmware Membutuhkan Pembaruan Keamanan

    Beberapa tahun terakhir telah menunjukkan berulang kali mengapa UEFI firmware membutuhkan pembaruan keamanan yang tepat waktu.

    Kita semua belajar tentang Specter pada tahun 2018, menunjukkan masalah arsitektur serius dengan CPU modern. Masalah dengan sesuatu yang disebut "eksekusi spekulatif" berarti program dapat lolos dari batasan keamanan standar dan membaca area memori yang aman. Perbaikan ke Spectre diperlukan pembaruan mikrokode CPU agar berfungsi dengan benar. Itu berarti produsen PC harus memperbarui semua laptop dan PC desktop mereka - dan produsen motherboard harus memperbarui semua motherboard mereka - dengan firmware UEFI baru yang berisi mikrokode yang diperbarui. PC Anda tidak dilindungi secara memadai terhadap Specter kecuali Anda telah menginstal pembaruan firmware UEFI. AMD juga merilis pembaruan mikrokode untuk melindungi sistem dengan prosesor AMD dari serangan Specter, jadi ini bukan hanya masalah Intel.

    Intel's Management Engine telah melihat beberapa bug keamanan yang dapat membuat penyerang dengan akses lokal ke komputer memecahkan perangkat lunak Engine Engine, atau membiarkan penyerang dengan masalah akses jarak jauh menyebabkan masalah. Untungnya, eksploitasi jarak jauh hanya memengaruhi bisnis yang telah mengaktifkan Intel Active Management Technology (AMT), sehingga konsumen rata-rata tidak terpengaruh.

    Ini hanya beberapa contoh. Para peneliti juga telah menunjukkan bahwa mungkin untuk menyalahgunakan firmware UEFI pada beberapa PC, menggunakannya untuk mendapatkan akses mendalam ke sistem. Mereka bahkan menunjukkan ransomware gigih yang memperoleh akses ke firmware UEFI komputer dan berlari dari sana.

    Industri harus memperbarui firmware UEFI setiap komputer sama seperti perangkat lunak lain untuk membantu melindungi terhadap masalah ini dan kekurangan serupa di masa depan.

    Bagaimana Proses Pembaruan Telah Dipotong Selama bertahun-Tahun

    Proses pembaruan BIOS telah berantakan sejak lama sebelum UEFI. Secara tradisional, komputer dikirimkan dengan BIOS jadul itu, dan lebih sedikit yang bisa salah. Produsen PC mungkin mengirimkan beberapa pembaruan BIOS untuk memperbaiki masalah kecil, tetapi saran yang biasa adalah untuk menghindari menginstalnya jika PC Anda berfungsi dengan baik. Anda sering harus mem-boot dari drive DOS yang dapat di-boot untuk mem-flash pembaruan BIOS, dan semua orang mendengar cerita tentang pembaruan BIOS yang gagal dan merusak PC, menjadikannya tidak dapat di-boot.

    Banyak hal telah berubah. Firmware UEFI melakukan lebih banyak hal, dan Intel telah merilis beberapa pembaruan besar untuk hal-hal seperti mikrokode CPU dan Intel ME dalam beberapa tahun terakhir. Setiap kali Intel merilis pembaruan semacam itu, yang bisa dilakukan Intel hanyalah mengatakan "tanyakan pabrik komputer Anda." Pabrik komputer Anda - atau produsen motherboard, jika Anda membuat PC sendiri - harus mengambil kode dari Intel dan mengintegrasikannya ke dalam firmware UEFI baru versi. Mereka kemudian harus menguji firmware. Oh, dan masing-masing produsen harus mengulangi proses ini untuk setiap PC yang mereka jual, karena mereka semua memiliki firmware UEFI yang berbeda. Ini adalah jenis pekerjaan manual yang membuat ponsel Android sangat sulit untuk diperbarui di masa lalu.

    Dalam praktiknya, ini berarti seringkali memerlukan waktu yang lama - berbulan-bulan - untuk mendapatkan pembaruan keamanan penting yang harus disampaikan melalui UEFI. Ini berarti produsen mungkin mengangkat bahu dan menolak untuk memperbarui PC yang baru berusia beberapa tahun. Dan, bahkan ketika produsen melakukan pembaruan rilis, pembaruan tersebut sering kali dikubur di situs web dukungan produsen itu. Sebagian besar pengguna PC tidak akan pernah menemukan pembaruan firmware UEFI itu ada dan menginstalnya, sehingga bug ini akhirnya hidup di PC yang ada untuk waktu yang lama. Dan beberapa produsen masih membuat Anda menginstal pembaruan firmware dengan mem-boot ke DOS terlebih dahulu hanya untuk membuatnya lebih rumit.

    Apa yang Orang Lakukan Tentang Ini

    Itu berantakan. Kami membutuhkan proses yang efisien di mana produsen dapat lebih mudah membuat pembaruan firmware UEFI baru. Kami juga membutuhkan proses yang lebih baik untuk merilis pembaruan tersebut, sehingga pengguna dapat menginstalnya secara otomatis di PC mereka. Saat ini prosesnya lambat dan manual-harus cepat dan otomatis.

    Itulah yang coba dilakukan Microsoft dengan Project Mu. Begini cara dokumentasi resmi menjelaskannya:

    Mu dibangun di sekitar gagasan bahwa pengiriman dan pemeliharaan produk UEFI adalah kolaborasi berkelanjutan antara banyak mitra. Sudah terlalu lama industri telah membangun produk menggunakan model "forking" dikombinasikan dengan copy / paste / rename dan dengan setiap produk baru beban pemeliharaan tumbuh ke tingkat yang hampir tidak mungkin diperbarui karena biaya dan risiko.

    Project Mu adalah tentang membantu produsen PC membuat dan menguji pembaruan UEFI lebih cepat dengan merampingkan proses pengembangan UEFI dan membantu semua orang bekerja bersama. Semoga ini adalah bagian yang hilang, karena Microsoft telah mempermudah produsen PC untuk mengirimkan pembaruan firmware UEFI mereka kepada pengguna secara otomatis.

    Secara khusus, Microsoft memungkinkan produsen PC mengeluarkan pembaruan firmware melalui Pembaruan Windows dan telah menyediakan dokumentasi tentang ini sejak setidaknya 2017. Microsoft juga mengumumkan Pembaruan Firmware Komponen; model open-source yang dapat digunakan pabrikan untuk memperbarui UEFI dan firmware lain, pada Oktober 2018. Jika pabrikan PC menggunakan ini, mereka dapat mengirimkan pembaruan firmware ke semua pengguna mereka dengan sangat cepat.

    Ini bukan hanya masalah Windows. Selama di Linux, pengembang berusaha untuk membuatnya lebih mudah bagi produsen PC untuk mengeluarkan pembaruan UEFI dengan LVFS, Layanan Vendor Firmware Linux. Vendor PC dapat mengirimkan pembaruan mereka, dan mereka akan muncul untuk diunduh di aplikasi Perangkat Lunak GNOME, yang digunakan di Ubuntu dan banyak distribusi Linux lainnya. Upaya ini dimulai sejak tahun 2015. Produsen PC seperti Dell dan Lenovo berpartisipasi.

    Solusi ini untuk Windows dan Linux juga memengaruhi lebih dari sekadar pembaruan UEFI. Pabrikan perangkat keras dapat menggunakannya untuk memperbarui segala sesuatu mulai dari firmware mouse USB ke firmware solid-state drive di masa mendatang.

    Seperti yang dikatakan SwiftOnSecurity ketika berbicara tentang masalah dengan solid-state drive firmware dan enkripsi, pembaruan firmware dapat diandalkan. Kita harus mengharapkan yang lebih baik dari produsen perangkat keras.

    Pembaruan firmware dapat diandalkan. Saya telah menginisiasi setidaknya 3.000 pembaruan BIOS Dell dengan hanya satu kegagalan, dan PC lama itu sudah dalam kondisi gagal.

    Pikirkan kembali apa yang Anda pikir tidak mungkin. Servis firmware tidak mustahil atau berisiko. Itu menuntut permintaan orang lebih baik.

    - SwiftOnSecurity (@SwiftOnSecurity) 6 November 2018

    Kredit Gambar: Intel, Natascha Eibl, kubais / Shutterstock.com.